[Postfixbuch-users] verseuchte Spamuser

[Uwe Driessen]

On Behalf Of Andre Hübner
> Hallo Liste,
> 
> habe aktuell das Problem das Spam direkt von eingeloggten Usern auf dem
> Server in die Warteschlange gestellt wird.
> Offenbar handelt es sich um kompromittierte Systeme der User wo irgendwelche
> Trojaner aktiv geworden sind.
> Teilweise wird der Spam von extern per smtp-auth eingeliefert was ich durch
> ein paar smtpd-limits verzögere.
> Teilweise werden aber auch Scripte per ftp  hochgeladen die dann
> automatisiert aufgerufen werden und die Mails so direkt vom Server aus
> einliefern.
> Hier fehlt mir momentan noch das richtge Mittel dies zu verhindern oder zu
> verzögern. Diese Scripte werden dann auch automatisiert gelöscht so das ich
> nur die Einträge in den ftp-Logs finde aber die Scripte selber nicht mehr.
> Mit den Scripten könnte ich dann Signaturen für unseren Scanner machen was
> bei anderen Schadprogrammen schon gut geholfen hat.
> Für die internen Scripte fehlt mir momentan der Ansatz. Ich kann ja nicht
> einfach pop-before-smtp deaktivieren oder $mynetworks nicht mehr zulassen
> damit diese scripte ins leere laufen
> Gibt es etwas sinnvolles was ich da tun könnte?
> 

Absenderprüfen, Absender sperren (Anwender wird sich dann wohl melden)

Temp. Die betroffenen ftp. Verzeichnisse auf read only setzen (Kunde wird sich schon
melden)

Ansonsten logfiles zeigen evtl. kann man daran einen Ansatzpunkt finden 

Als Restriktionen fällt mir noch 

reject_unlisted_sender
reject_sender_login_mismatch
(vor permit sasl)

ein um den Bösewichten auf die Spur zu kommen (dann kannst du das ja wieder abstellen)
 
smtpd_sasl_authenticated_header = yes ist auch noch etwas was licht ins dunkel bringt.

pop-before-smtp und das würde ich gar nicht mehr zulassen (zu großes Sicherheitsloch)


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397